He estado rompiéndome la cabeza para descubrir una herramienta de análisis de código fuente de código abierto realmente buena que pueda descubrir vulnerabilidades de seguridad. Hice una búsqueda extensa en la web y descubrí tres enlaces principales que enumeran herramientas de análisis de código fuente de código abierto / comercial: enlace enlace enlace
Luego hice una lista de herramientas de código abierto que pueden buscar vulnerabilidades de seguridad en el código Java, es decir, FindBugs, LAPSE +, SWAAT y Orizon de OWASP, VCG, Google CodeSearchDiggity y YASCA como un agregador de estas herramientas. FindBugs y LAPSE + están disponibles como complementos de Eclipse. VCG era más de una red troncal simple en la que puede agregar sus reglas personalizadas y menos para ofrecer como es y se ejecuta solo en la plataforma Windows. LAPSE + requiere una versión específica de Eclipse para ejecutarse (Helios en mi caso).
Quiero encontrar al menos OWASP Top 10 vulnerabilidades realizando un análisis de código fuente estático. ¿Alguna forma de hacer eso?